Windows знает, что вы делали прошлым летом. И вчера, и сегодня, и прямо сейчас. Нет, она не злопамятная, она просто всё записывает — ведет журнал событий.
События — это любые действия, которые происходят на компьютере: включение, выключение, вход в систему, запуск приложений, нажатия клавиш и т. д. А журнал событий Виндовс — это хранилище, где накапливаются сведения о наиболее значимых действиях. Просмотр событий помогает администраторам и разработчикам ПО находить причины сбоев в работе оборудования, компонентов системы и программ, а также следить за безопасностью в корпоративных сетях. Итак, разберемся, где находится журнал событий в Windows 10, как его открывать, просматривать и анализировать.
Где находится журнал событий и как его открыть
- Главное меню Windows — «Пуск». Щелкать по его кнопке следует не левой, а правой клавишей мыши. Пункт «Просмотр событий» — четвертый сверху.
- Системный поиск — кнопка со значком в виде лупы возле «Пуска». Достаточно начать вводить в поисковую строку слово «просм…» — и вот он, нашелся.
- Виндовая утилита «Выполнить» (Run) просто создана для тех, кто предпочитает горячие клавиши. Нажмите на клавиатуре Windows+К (русская), вбейте в строку «Открыть» команду eventvwr (имя файла просмотрщика) и щелкните ОК.
- Командная строка или консоль Powershell (их тоже удобно открывать через контекстное меню кнопки Пуск). Для запуска журнала событий снова введите eventvwr и щелкните Enter.
- Старая добрая Панель управления (кстати, если желаете вернуть ее в контекст Пуска, читайте эту статью). Перейдите в раздел «Система и безопасность», спуститесь вниз окна до пункта «Администрирование» и кликните «Просмотр журналов событий».
- Системная утилита «Параметры», пришедшая на смену панели управления. Зарываться в ее недра — то еще удовольствие, но можно сделать проще — начать вбивать в строку поиска слово «администрирование». Следом просто перейдите в найденный раздел и щелкните ярлык просмотрщика.
- НахОдите журнал событий Windows увлекательным чтивом? Тогда, возможно, вам понравится идея держать его всегда под рукой. Чтобы поместить ярлык просмотрщика на рабочий стол, зайдите любым из способов в раздел панели управления «Администрирование», скопируйте ярлык нажатием клавиш Ctrl+C, щелкните мышкой по рабочему столу и нажмите Ctrl+V.
За работу этого системного компонента отвечает одноименная служба. И самая частая причина проблем с его открытием — остановка службы.
- Ваша ученая запись ограничена в правах доступа политиками безопасности.
- В правах ограничена системная учетная запись Local Service, от имени которой работает журнал событий.
- Некоторые системные компоненты повреждены или заблокированы вредоносной программой.
- Откатом на контрольную точку, созданную, когда всё работало исправно.
- Запуском утилиты проверки и восстановления защищенных системных файлов sfc.exe —scannow в командной строке.
- Сканированием дисков на предмет вирусного заражения.
- Восстановлением прав доступа системных учетных записей к папкам \Windows\System32\winevt и \System32\LogFiles. Рабочие настройки показаны на скриншотах ниже.
Структура просмотрщика журнала событий
Середина окна отображает выбранный журнал. В верхней части находится таблица событий, где указаны их уровни, даты, источники, коды и категории задачи. Под ней — раздел детальной информации о конкретных записях.
Как искать в журналах событий интересующие сведения
Как пользоваться функцией фильтрации
Далее заполняем вкладку «Фильтр»:
Как создавать настраиваемые представления
Чтобы создать настраиваемое представление, сделайте следующее:
Источники, уровни и коды событий. Как понять, что означает конкретный код
Уровни событий — это показатели их значимости. Все записи журналов отнесены к одному из шести уровней:
Код (event ID) — это число, которое указывает на категорию события. Например, записи, имеющие отношение к загрузке Windows, обозначаются кодами 100-110, а к завершению ее работы — кодами 200-210.
